ترحيل ASA إلى الدفاع عن تهديد FirePOWER (FTD) باستخدام FMT

المقدمة

يصف هذا المستند إجراء ترحيل جهاز الأمان القابل للتكيف (ASA) من Cisco إلى جهاز تهديد FirePOWER .

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من cisco جدار حماية تهديد الحماية (FTD) وأجهزة الأمان المعدلة (ASA).

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• نظام التشغيل Mac OS مع أداة ترحيل FirePOWER (FMT) الإصدار 7.0.1
• جهاز الأمان القابل للتكيف (ASA) الإصدار 9.16(1)
• Secure Firewall Management Center (FMCv) الإصدار 7.4.2
• Secure Firewall Threat Defense Virtual (FTDv) الإصدار 7.4.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

تتضمن المتطلبات الخاصة لهذا المستند:

• Cisco Adaptive Security Appliance (ASA)، الإصدار 8.4 أو إصدار أحدث
• مركز إدارة جدار الحماية الآمن (FMCv) الإصدار 6.2.3 أو إصدار أحدث

تدعم أداة ترحيل جدار الحماية قائمة الأجهزة التالية:

• Cisco ASA (8.4+)
• ASA من Cisco (9.2.2+) مع FPS
• مدير جهاز جدار الحماية الآمن من Cisco (7.2+)
• نقطة الفحص (r75-r77)
• نقطة التفتيش (r80)
• Fortinet (5.0+)

· شبكات بالو ألتو (6.1+)

معلومات أساسية

قبل ترحيل تكوين ASA الخاص بك، قم بتنفيذ هذه الأنشطة:

الحصول على ملف تكوين ASA

لترحيل جهاز ASA، أستخدم show running-config لسياق واحد، أو show tech-support للوضع متعدد السياقات للحصول على التكوين، واحفظه كملف cfg. أو txt، ونقله إلى الكمبيوتر باستخدام أداة ترحيل جدار الحماية الآمن.

تصدير شهادة PKI من ASA والاستيراد إلى مركز الإدارة

استعملت هذا أمر أن يصدر ال PKI شهادة من ال CLI من المصدر ASA config مع المفتاح إلى PKCS12 مبرد:
ASA(config)#crypto ca صدر <trust-point-name> pkcs12 <passphrase> 
ثم قم باستيراد شهادة PKI إلى مركز إدارة (كائنات PKI لإدارة الكائنات). لمزيد من المعلومات، راجع كائنات PKI في دليل تكوين مركز إدارة Firepower.

إسترداد حزم وتوصيفات AnyConnect

تكون توصيفات AnyConnect إختيارية ويمكن تحميلها من خلال مركز الإدارة أو أداة ترحيل جدار الحماية الآمن.

أستخدم هذا الأمر لنسخ الحزمة المطلوبة من مصدر ASA إلى خادم FTP أو TFTP:

نسخ <موقع الملف المصدر:/اسم الملف المصدر> <destination>

ASA# copy disk0:/anyConnect-win-4.10.02086-webdeploy-k9.pkg tftp://1.1.1.1 <— مثال على نسخ حزمة AnyConnect.

ASA# copy disk0:/ external-sso- 4.10.04071-webdeploy-k9.zip tftp://1.1.1.1 <— مثال على نسخ حزمة المستعرض الخارجي.

ASA# copy disk0:/ hostscan_4.10.04071-k9.pkg tftp://1.1.1.1 <— مثال على نسخ حزمة Hostscan.

ASA# copy disk0:/ dap.xml tftp://1.1.1.1. <— مثال على نسخ Dap.xml

ASA# copy disk0:/ sdesktop/data.xml tftp://1.1.1.1 <— مثال على نسخ Data.xml

ASA# copy disk0:/ VPN_PROFILE.xml tftp://1.1.1.1 <— مثال على نسخ ملف تعريف AnyConnect.

قم باستيراد الحزم التي تم تنزيلها إلى مركز الإدارة (إدارة الكائنات > VPN > ملف AnyConnect).

يجب تحميل A-Dap.xml و Data.xml إلى مركز الإدارة من أداة ترحيل جدار الحماية الآمن في المراجعة والتحقق > Remote Access VPN > قسم ملف AnyConnect.

ب-AnyConnect يمكن تحميل توصيفات مباشرة إلى مركز الإدارة أو من خلال أداة ترحيل جدار الحماية الآمن في قسم المراجعة والتحقق > Remote Access VPN > ملف AnyConnect.

التكوين

خطوات التكوين:

1.تنزيل أحدث أداة لترحيل Firepower من Cisco Software Central:

تنزيل البرامج

2. انقر فوق الملف الذي قمت بتنزيله مسبقا إلى الكمبيوتر.

الملف

سجلات وحدة التحكم

3. بعد تشغيل البرنامج، يقوم بفتح مستعرض ويب يعرض "إتفاقية ترخيص المستخدم النهائي".
   1. ضع علامة على خانة الاختيار لقبول البنود والشروط.
   2. انقر على متابعة.

إولا

4. قم بتسجيل الدخول باستخدام حساب CCO صالح وتظهر واجهة واجهة المستخدم الرسومية (GUI) ل FMT على مستعرض الويب.
   
   تسجيل دخول FMT
5. حدد جدار الحماية المصدر للترحيل.

جدار حماية المصدر

6. حدد أسلوب الاستخراج المطلوب إستخدامه للحصول على التكوين.
   1. يتطلب التحميل اليدوي تحميل ملف ASA بتنسيق Running Config ".cfg" أو ".txt".
   2. اتصل ب ASA لاستخراج التكوينات مباشرة من جدار الحماية.

إستخلاصا

7. يتم عرض ملخص للتكوين الذي تم العثور عليه في جدار الحماية كلوحة معلومات، الرجاء النقر فوق التالي.

ملخص

8. حدد FMC الهدف لاستخدامه على الترحيل.

قم بتوفير عنوان IP الخاص ب FMC.يقوم بفتح نافذة منبثقة حيث يطلب منك بيانات اعتماد تسجيل الدخول الخاصة ب FMC.

FMC IP

9. (إختياري) حدد FTD الهدف الذي تريد إستخدامه.
   1. إذا أخترت الترحيل إلى FTD، فحدد FTD الذي تريد إستخدامه.
   2. إذا كنت لا تريد إستخدام FTD يمكنك تعبئة مربع التأشير Proceed without FTD

FTD الهدف

10. حدد التكوينات التي تريد ترحيلها، يتم عرض الخيارات على لقطات الشاشة.

التكوينات

11. بدء تحويل التكوينات من ASA إلى FTD.

بدء التحويل

12. بمجرد أن ينتهي التحويل، فإنه يعرض لوحة معلومات مع ملخص الكائنات التي سيتم ترحيلها (يقتصر على التوافق).
    1. يمكنك النقر إختياريا Download Report لتلقي ملخص للتكوينات التي سيتم ترحيلها.

تنزيل التقرير

مثال تقرير ما قبل الترحيل، كما هو موضح في الصورة:

تقرير ما قبل الترحيل

13. قم بتعيين واجهات ASA باستخدام واجهات FTD على أداة الترحيل.

واجهات الخريطة

14. إنشاء مناطق الأمان ومجموعات الواجهة للواجهات على FTD

مناطق الأمان ومجموعات الواجهة

يتم إنشاء مناطق الأمان (SZ) ومجموعات الواجهة (IG) تلقائيا بواسطة الأداة، كما هو موضح في الصورة:

أداة الإنشاء التلقائي

15. مراجعة التكوينات المراد ترحيلها على أداة الترحيل والتحقق منها.
    
    1. إذا كنت قد انتهيت بالفعل من مراجعة التكوينات وتحسينها، فانقرValidate.

المراجعة والتصديق

16. في حالة نجاح حالة التحقق من الصحة، قم بدفع التكوينات إلى الأجهزة الهدف.

التحقق من الصحة

مثال على التكوين الذي تم دفعه من خلال أداة الترحيل، كما هو موضح في الصورة:

دفع

مثال على الترحيل الناجح، كما هو موضح في الصورة:

ترحيل ناجح

(اختياري) إذا حددت ترحيل التكوين إلى FTD، فإنه يتطلب عملية نشر لدفع التكوين المتوفر من FMC إلى جدار الحماية.

in order to نشرت التشكيل:

1. سجل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم FMC.
2. انتقل إلىDeployعلامة التبويب.
3. حدد النشر لدفع التكوين إلى جدار الحماية.
4. انقر. Deploy

استكشاف الأخطاء وإصلاحها

أداة الترحيل عبر جدار الحماية الآمن لاستكشاف الأخطاء وإصلاحها

• حالات فشل الترحيل الشائعة:
  • أحرف غير معروفة أو غير صحيحة في ملف تكوين ASA.
  • عناصر تكوين مفقودة أو غير مكتملة.
  • مشاكل اتصال الشبكة أو زمن الوصول.
• مشكلات أثناء تحميل ملف تكوين ASA أو دفع التكوين إلى مركز الإدارة.
• وتتضمن المشاكل الشائعة ما يلي:
• إستخدام مجموعة الدعم لاستكشاف الأخطاء وإصلاحها:
  • في شاشة "الترحيل الكامل"، انقر فوق الزر دعم.
  • حدد حزمة الدعم واختر ملفات التكوين التي تريد تنزيلها.
  • يتم تحديد ملفات السجل و DB بشكل افتراضي.
  • انقر فوق تنزيل للحصول على ملف .zip.
  • قم باستخراج .zip لعرض ملفات السجلات و db و config.
  • انقر فوق إرسال تفاصيل الفشل عبر البريد الإلكتروني إلى الفريق الفني.
  • قم بإرفاق مجموعة الدعم في بريدك الإلكتروني.
  • انقر فوق زيارة صفحة TAC لإنشاء حالة Cisco TAC للحصول على المساعدة.
• تسمح لك الأداة بتنزيل حزمة دعم لملفات السجل وقاعدة البيانات وملفات التكوين.
• خطوات التنزيل:
• للحصول على مزيد من الدعم: